Безпека ІТ компанії. Хто відповідальний та від чого захищатися?

Безпека ІТ компанії це динамічний процес.

Наразі, звісно, єдиного визначення умовного терміну «безпека ІТ-компанії» немає.

Загалом,  можна визначити наступні ключові складові такого терміну:

Отже, безпека ІТ компанії це:

  • становище найбільш ефективного використання усіх ресурсів для запобігання внутрішніх і зовнішніх загроз та забезпечення стабільного функціонування компанії на теперішній час і в майбутньому;
  • захищеність діяльності від негативного впливу зовнішніх та внутрішніх факторів в оточенні, а також можливість оперативного усунення різноманітних «загрожуючих чинників» або швидкого адаптування до існуючих умов, які не відбиваються негативно на діяльності компанії та/або максимально мінімізують всілякі негативні фактори впливу;.
  • комплекс заходів, які сприяють підвищенню фінансового потенціалу та забезпечують економічний приріст компанії за умов жорсткої конкуренції та динаміки розвитку ІТ галузі, а також захищають комерційні інтереси від впливу різноманітних негативних процесів і «подразнюючих чинників»;
  • сукупність чинників, які забезпечують незалежність, стійкість, здатність до прогресу в умовах дестабілізуючих факторів;
  • захищеність цифрового, технічного, технологічного, виробничого та кадрового потенціалу від прямих (активних) або непрямих (пасивних) загроз.

Таким чином, безпека IT компанії передбачає стійкий та динамічний розвиток, що досягається за допомогою використання усіх видів ресурсів і можливостей, за якими гарантується найбільш ефективне їх використання для стабільного функціонування та динамічного розвитку, запобігання внутрішнім і зовнішнім негативним впливам (загрозам).

Майже кожна ІТ-компанія на певних етапах свого розвитку та функціонування стикається з численними ризиками та загрозами, що, у випадку відсутності готовності до їх усунення, може мати непередбачувані наслідки.

Власникам, менеджерам та команді ІТ-компаній важливо бути завжди в стані «Praemonitus, praemunitus». Коротко зупинимось на складових стану безпеки ІТ компанії.

1. Фізична безпека ІТ компанії

Це не означає, що ви і ваша команда повинні всюди пересуватися в компанії «бодігардів», однак нехтувати елементарними на перший погляд речами не варто.

Зокрема, але не виключно:

  • потрібно подбати про доступ до вашого офісного приміщення. Встановлення навіть найпростіших елементів захисту фізичного доступу (електронні та цифрові замки наприклад) дозволить суттєво мінімізувати потік небажаних гостей, а, у випадку застосування передових технологій взагалі унеможливить присутність у вашому робочому просторі персонажів «я просто спросить».
  • Ефективним також буде декілька-рівневий формат доступу до приміщення. Наприклад, попередній контроль та ідентифікація відвідувачів на рецепції та в подальшому безпосередньо при вході до офісного приміщення не буде зайвим.
  • Наявність систем постійної відеофіксації простору навколо офісу також створить певні незручності «небажаним гостям» або фейковим клієнтам.
  • В окремих випадках доцільно також розглядати присутність так званого фізичного фільтру у вигляді фахівця із забезпечення безпеки.

Локації та офісні приміщення кожної компанії різняться між собою, а тому в кожному окремому випадку необхідно аналізувати достатні варіанти «фізичного захисту» в залежності від ситуацій та окремих побажань.

Актуальним буде і документально оформлений та підписаний усіма співробітниками компанії порядок доступу до офісного приміщення, а також алгоритм дій при виявленні порушень такого доступу.

2. Люди, як фактор ризику.

Переважна більшість власників ІТ-компанії на початку своєї діяльності чи конкретного проекту намагається формувати свою команду з «перевіреного оточення». Однак, з часом так чи інакше виникає необхідність у залученні фахівців ззовні.

Проте, як незнайомі вам раніше люди так і «перевірені товариші» можуть свідомо чи несвідомо піддавати ризикам стабільне функціонування компанії.

Важливо розробити та затвердити концепцію діяльності ІТ-компанії, в якій встановити рівні доступу до інформації та обмеження доступу за фактичної потреби. Для прикладу, адміністратору офісу не обов’язково потрібно знати, шо вчора Ви здійснили транзакцію на 1М $, а звичайному дизайнеру не потрібен повний доступ до всіх проектів та розробок компанії. Окрему увагу слід приділити наданню віддаленого доступу фахівцям, залученим до окремих проектів чи в цілому до діяльності компанії.

При можливості та наявності відповідних ресурсів потрібно здійснювати додаткову спеціальну перевірку співробітників та фахівців, які залучаються до окремих важливих проектів і яким можуть передаватися конфіденційні відомості.

Бажаним буде також і здійснення зонування в офісному приміщенні за проектним принципом або за сферами діяльності фахівців.

А ще, не треба забувати про правильне врегулювання відносин між кофаундерами ІТ компанії. Зрозумілий розподіл прав, обов’язків, меж та інструментів впливу на діяльність компанії потрібно врегулювати корпоративними договорами. Даний елемент складової безпеки ІТ-компанії дозволить узгодити дії учасників щодо управління компанією.

Важливо не ігнорувати таку складову, як навчання команди. Навчання ефективній протидії негативним обставинам та надання конкретних алгоритмів виявлення та боротьби з причинами, що створюють ризики для безпеки ІТ компанії допоможе підвищити рівень безпеки в ІТ компанії в цілому.

3. ІТ безпека ІТ компанії

Доволі часто ІТ-професіонали у зв’язку із зосередженістю на проектах чи банальним браком часу можуть не вдаватися до значимості безпеки власних внутрішніх мереж чи програмного забезпечення та/або наявності вразливих елементів у них. Зазначене може призвести щонайменше до витоку критичних даних та інформації, що циркулює всередині компанії.

В розрізі даного питання бажаним буде здійснення комплексу технічних заходів направлених на оцінювання захищеності комп’ютерної системи чи мережі шляхом часткового моделювання дій зовнішніх зловмисників з проникнення у неї (які не мають авторизованих засобів доступу до системи) і внутрішніх зловмисників (які мають певний рівень санкціонованого доступу).

Такий процес включає активний аналіз системи з виявлення будь-якої потенційної вразливості, що може виникати внаслідок неправильної конфігурації системи, відомих і невідомих дефектів апаратних засобів та програмного забезпечення, чи оперативне відставання в процедурних чи технічних контрзаходах.

Аналіз проводиться з позиції потенційного нападника і може включати активне використання вразливостей.

Не зайвим буде також унормування порядку доступу та обміну інформацією всередині мережі та при використанні тих чи інших програмних інструментів у компанії.

Варто звернути увагу також на можливість використання програмного забезпечення для захисту від витоку інформації, контролю продуктивності команди за ПК та управління подіями інформаційної безпеки. Однак, в даній ситуації при прийняті рішення щодо впровадження такого ПЗ необхідно підготувати певний бекграунд для того щоб діяти в межах закону відповідно до обраної юрисдикції.

4. Юридична безпека ІТ компанії

Досить часто власники та менеджери ІТ-компаній не приділяють достатньої і належної уваги правовим аспектам діяльності. Непоодинокими є випадки відсутності будь-якого унормування взаємовідносин із співробітниками та контрагентами або такі відносини врегульовані за принципом «щоб було».

Ми переконані, що маючи на руках підписаний договір про нерозголошення (NDA), адаптований під визначену діяльність для конкретного учасника правовідносин, який підписався під нерозголошенням комерційної таємниці, може змусити такого учасника декілька разів подумати перед тим, як комусь щось розповідати.

Доречною буде наявність підписаної угоди про неконкуренцію (NCA) в додаток до основного договору з контрагентом (особливо, якщо така діяльність здійснюється за межами України).

Ґрунтовний аналіз укладених договорів дасть можливість упередити можливі негативні наслідки для ІТ-компанії в майбутньому, а також узгодити та переформатувати окремі положення таких договорів відповідно до вимог законодавства країни в юрисдикції якої працює ІТ-компанії чи її контрагенти.

А ще ж є купа регламентів та директив, які застосовуються до компанії в межах конкретних юрисдикцій та бізнес-процесів. Той же GDPR або HIPAA, порушення яких може потягнути непідйомні штрафи. Планування, обачність та підготовка визначають реальну можливість захисту ІТ бізнесу від юридичних ризиків.

5. Економічна (фінансова) безпека

Стан захищеності життєво важливих інтересів IТ бізнесу від нечесної конкуренції, некомпетентних рішень, недосконалих законів, а також здатність протистояти цим загрозам і реалізувати мету своєї діяльності – вцілому і є економічною безпекою компанії.

Важливим аспектом в цьому ключі є:

  • забезпечення високої фінансової ефективності роботи;
  • підтримка фінансової стійкості та незалежності підприємства;
  • досягнення високої конкурентноздатності;
  • забезпечення високої ліквідності активів компанії;
  • підтримка належного рівня ділової активності;
  • забезпечення захисту інформаційного поля і комерційної таємниці;
  • ефективна організація безпеки капіталу та майна підприємства, а також його комерційних інтересів.

Змістовний та якісний аналіз зазначених аспектів в діяльності ІТ-компанії дасть можливість швидко виявити слабкі місця фінансової безпеки, впровадити оптимальну економічну модель, врегулювати ключові аспекти обраної моделі функціонування компанії тощо.

Безпека ІТ компанії має бути під контролем.

Ризики ризикові, закони мінливі, люди обманюють, а кібератаки все частіше. Власники та борд ІТ компанії відповідає перед своєю командою та своїми клієнтами за безпеку ІТ компанії та можливість продовжувати бізнес за будь-яких умов. Чому б не запросити на допомогу команду ІТ адвокатів?

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)